Hi all,

ich habe den auch- einen Trojaner Namens
TR/Buddy.F
(C:\WINDOWS\ETXEWOABAEC.EXE)
zusätzlich noch einen mit namen:
TR/Stervice.C
(C:\WINDOWS\SVCPROC.EXE) und
TR/Click.Age.DB.Dll
(C:\WINDOWS\SYSTEM32\DRPMON.DLL)
Manuell kann ich die Dateien nihct finden, d.h. der Pfad wird zwar angegeben, aber die datei gibt es seltsamerweise nicht...
Antivir läuft bei mir im Hintergrund, meldet die drei auch, sie können aber nicht entfernt werden, anscheinend gehören sie zu einem Programm, welches die beiden immer wieder installiert- zwischenzeiltich bekomme ich alle 2 sek. den Hinweis auf den Trojaner, löschen geht nicht.
Ad-Aware und Spybot und reg.cleaner hab ich ausgeführt, ohne erfolg.
Antivir findet beim normalen Virenscan nix.
HJT hab ich auch durchgeführt, einige gefährliche Proggis habe ich bereits entfernt, aus das brachte keinen Erfolg.
Zusätzlich poppen bei mir ständig Werbefenster auf, trotz Pop-Up Sperre, das sind so etwas größere Werbefenster, namens Seeve- keine Ahnung ob das zu den Trojanern gehört, oder noch was anderes sein könnte.

Hab bei der Forensuche schon jemanden gefunden, bei dem der Buddy in der Registry entfernt werden konnte, die da angegebenen Schritte halfen aber bei mir nicht.
Ich weiß nicht, ob ich genug Infos gepostet habe, wäre aber nett, wenn mir einer helfen könnte.

LG
Bloody

@bloodymary

Zitat:

Manuell kann ich die Dateien nihct finden, d.h. der Pfad wird zwar angegeben, aber die datei gibt es seltsamerweise nicht...

Es gibt 2 Möglichkeiten:
1. Dateien kriegen nach dem Neubooten die anderen Namen.
2. Du suchst nicht ganz richtig:Dateien richtig suchen

Zitat:

HJT hab ich auch durchgeführt

Bitte Scan-Log hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.

Zitat:

einige gefährliche Proggis habe ich bereits entfernt, aus das brachte keinen Erfolg.

Es gibt 2 Möglichkeiten:
1. Nich alle entfernt
2. Nicht alles entfernt
Öfters reicht es nicht , den Registry-Eintrag zu fixen. Es muss noch die Datei gelöscht werden.

Hier mal das HJT Logfile

Logfile of HijackThis v1.99.0
Scan saved at 12:18:05, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
c:\windows\system32\gcsjjm.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\QuickTime\qttask.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht****.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht****.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [***://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*ht****.yahoo.com[/url]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ugvillc] c:\windows\system32\gcsjjm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [u*l]****aolcc.aol.de/computercheckup/qdiagcc.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [****://software-dl.real.com/018f049977d5f752e922/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [***]h***://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093082887191[/url]
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE (file missing)

@bloodymary

Zitat:

Logfile of HijackThis v1.99.0

HJT-Version ist längs veraltet. Bitte Log mit der aktuellen Version (www.hijackthis.de) erstellen.

ok- hab die neue Version runtergeladen , hier das Loigfile dazu...



Logfile of HijackThis v1.99.1
Scan saved at 12:57:53, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\windows\system32\qqgpmte.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Virenprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iuumcoz] c:\windows\system32\qqgpmte.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/0...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1093082887191
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

@bloodymary

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\Programme\SaferSurf Setup\SaferSurf Active.exe

SaferSurf ist IMHO unserios. Nutzung der Software auf eigene Gefahr

Zitat:

c:\windows\system32\qqgpmte.exe

Bitte bei http://virusscan.jotti.org/ online scannen, ergebnis hier posten.

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.be-blooded.de/

Ist es wirklich deine Startpage? Wenn nein - bitte fixen

Zitat:

O4 - HKLM\..\Run: [iuumcoz] c:\windows\system32\qqgpmte.exe

Egal was für eine Datei ist es - im Startup muss sie nicht sein, also fixen.

Hi Rene-gad

Service Pack2 wird grad runtergeladen.
Safer Surf wird deinstalliert, aber:

Zitat:

c:\windows\system32\qqgpmte.exe
Bitte bei http://virusscan.jotti.org/ online scannen, ergebnis hier posten.

*edit* Hab die Datei schon gefixt


Gruß
Bloody

@bloodymary

Zitat:

Da bekomme ich eine Fehlermeldung, wenn ich das hochladen und Scannen will: Die datei konnte nicht gefunden werden...

OK. Wenn du die datei finden kannst, kannst du sie auch löschen, ggf. im abgesicheten Modus.

Hallo Rene-gad,

habe jetzt SP2 installiert, c:\windows\system32\qqgpmte.exe wurde gelöscht, Safersurf wurde auch deinstalliert, Ad-Awarde hab ich nochmal laufen lassen,Antivir ausgeführt, konnte kein(!) Virus finden, die Trojaner-Warnungen bekomme ich aber immer noch.
Nu weiß ich auch nicht mehr weiter.

Gruß
Bloody

@ bloodymary

Poste nochmal ein aktuelle HJT Log-File und führe ebenfalls Silent Runners.vbs aus ->
Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File.

@bloodymary

Zitat:

Antivir ausgeführt, konnte kein(!) Virus finden, die Trojaner-Warnungen bekomme ich aber immer noch.

Von wem?

@Cidre
hier das aktuelle Logfile
@Rene-gad
Antivir zeigt mir die Warnungen an, der Pfad(blablabla) ist der Trojaner sowieso, beim Antiviren-Scan wurden aber keine Viren gefunden..

Gruß
Bloody


Logfile of HijackThis v1.99.1
Scan saved at 18:50:49, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\windows\system32\ssghbg.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Dokumente und Einstellungen\****\Eigene Dateien\Virenprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://h**p://red.clientapps.yahoo.c.../www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iavjpxw] c:\windows\system32\ssghbg.exe
O4 - HKLM\..\Run: [ZyConfig] "C:\Programme\ZyConfig\ZyConfig.exe" -update
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/0...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1093082887191
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Und hier das Log von Silent Runners... ich hoffe, es hilft!
Greetz Bloody


"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"ZyConfig" = ""C:\Programme\ZyConfig\ZyConfig.exe" -update" [null data]
"vtrcbw" = "c:\windows\system32\qrjvlha.exe" ["TODO: <Company name>"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

@bloodymary

Zitat:

Antivir zeigt mir die Warnungen an, der Pfad(blablabla) ist der Trojaner sowieso, beim Antiviren-Scan wurden aber keine Viren gefunden..

Lösche dann die Datei, die Antivir anzeigt .
Entweder machst du was falsch, oder ich bin so dämlich, dass die enfachsten Sachen nicht erklären kann

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [iavjpxw] c:\windows\system32\ssghbg.exe

Fixe bitte diese beiden Einträge.

Zitat:

C:\WINDOWS\Nail.exe
c:\windows\system32\ssghbg.exe

Lösche diese beiden Dateien

Die 2. Datei kann uner einem anderen Namen nach dem Neustart auftauchen. Suche nach einem charekteristisch-komischen Namen, z.B. [iavjpxw], mach mal Google-Suche. Wenn du nirgends findest, dass diese Datei eine Windows-Datei ist, oder, u.U. gar nix findest - lösche sie (mit Killbox z.B.)

Zitat:

Lösche dann die Datei, die Antivir anzeigt .

Ich weiß nicht, wie oft ich die bekloppte Datei bereits gelöscht hab- sie kommt immer wieder!!!!

Zitat:

Entweder machst du was falsch, oder ich bin so dämlich, dass die enfachsten Sachen nicht erklären kann

Was kann man da denn falsch machen?
Also entweder bin ich zu blöd es zu erklären, oder ich weiß auch nicht:
Eben bekomme ich die meldung C:/Programme..etc.pp. ist der Trojaner TR/Stervice usw.usf.
ich klicke auf Datei löschen, datei wird entfernt, Keine 3 Sekunden später kommt de gleiche Warnung wieder das geht jetzt seit zwei Tagen so! Isch wär nomma bekloppt-Menno.
Und das nicht nur mit einem Trojaner, sondern gleich 3- naja, nicht kleckern, klotzen*g*
So, hab dann die datei manuell gesucht, rechtsklick-entfernen- Datei wird nict entfernt*grübel*
Antiviren Scan bei der Datei durchgeführt, zeigt AV mir die Datei als TR an und fragt, wie verfahren werden soll, ich klick natürlich: löschen, und AV sagt: Die Datei ist gelockt und kann nicht gelöscht werden, soll die Datei beim nächsten systemstart gerlöscht werden? Ich:Ja!
Reboot und was ist? Nach 5 min. ist diese Datei wieder da, unter dem gleichen namen- Ich dreh gleich durch....

Also, was nun?

*edit*Die beiden Einträge hab ich gefixt und die Dateien gelöscht.
**nochmal edit** die Datei Nail.exe lässt sich nicht löschen- sie ist zwar kurz weg, aber nach ca. 1 Sekunde wieder da*langsam verzweifle*
Greetz
Bloody